Ranek 28 lipca na moskiewskim lotnisku Szeremietiewo przyniósł pasażerom koszyk niespodzianek. Ludzie, którzy chcieli polecieć do Astrachania, Groznego, Jekaterynburga, Kazania, Mińska, Astany, Soczi i wielu innych miast, stanęli w gigantycznych kolejkach. Wsłuchiwali się w komunikaty służby naziemnej Aerofłotu z gasnącą nadzieją na to, że uda im się odlecieć. Bo komunikaty zawierały jednakowo brzmiące przesłanie: kolejny samolot Aerofłotu odwołany lub przełożony.
Aerofłot uziemiony, chaos na rosyjskich lotniskach
W ostatnim czasie już wiele razy zdarzały się na rosyjskich lotniskach sytuacje nadzwyczajne – samoloty nie startowały ani nie lądowały zgodnie z planem, w hali odpraw zbierały się tłumy, pasażerowie spali na podłodze w oczekiwaniu na swój lot. Tamte niedogodności związane były z masowymi atakami ukraińskich dronów. W celach bezpieczeństwa zamykano wtedy przestrzeń powietrzną wokół lotnisk. Dzień, dwa później komunikację przywracano. Opóźnienia nadrabiano.
Ale tym razem drony nie pojawiły się w pobliżu największego portu lotniczego rosyjskiej stolicy Szeremietiewo, a największy rosyjski przewoźnik Aerofłot zgłaszał gotowość do obsługi pasażerów. Co się zatem mogło stać?
Po kilku godzinach chaosu i prób zapanowania nad sytuacją biuro prasowe Aerofłotu przyznało, że nie jest w stanie przyjąć pasażerów na pokład swoich samolotów ani wyprawić ich w drogę. Padł system informatyczny, nie działały komputery, nie można było odprawiać pasażerów, przyjmować ich bagażu, ba, nie można było nawet zatankować samolotów, zresztą po co, skoro rozkład lotów diabli wzięli. Całkowity paraliż. Aerofłot jeszcze przez jakiś czas trzymał gardę i nie podawał przyczyn ewidentnej katastrofy. Jasność wniosły komunikaty dwóch grup hakerskich: Silent Crow z Ukrainy i Cyberpartyzantów z Białorusi.
Czego i jak dokonali hakerzy
Hakerzy oznajmili, że wspólnie przeprowadzili operację, w wyniku której „została całkowicie skompromitowana i zniszczona wewnętrzna infrastruktura IT Aerofłotu”. Uchylili nawet rąbka tajemnicy, jak dotarli do chronionych wnętrzności systemu – dostali się tam dzięki licznym szczelinom w tarczach, które powinny chronić system, przestarzałemu oprogramowaniu, a także dzięki lekceważącemu stosunkowi pracowników, w tym kierownictwa firmy, do bezpieczeństwa systemu. Informatycy, którzy dokonali ataku, podali do publicznej wiadomości, co udało im się zhakować. Wypatroszono serwery Aerofłotu (zaatakowano 7 tys. serwerów), a wśród łupów znalazły się nie tylko bazy dotyczące lotów i inne chronione treści (łącznie pozyskano 20 terabajtów danych), ale także uzyskanie kontroli nad osobistymi komputerami pracowników i kierownictwa.
To nie był zwykły atak hakerski, ale uderzenie w splot słoneczny, w strategiczne przedsiębiorstwo przewozowe. To miękkie podbrzusze Rosji – chełpliwego mocarza, który na co dzień chwali się osiągnięciami w sferze IT, ma w swoich służbach specjalnych wysoko wykwalifikowane kadry hakerskie i używa ich do ataków na „nieprzyjazne państwa”.
Hakerzy z Ukrainy i Białorusi określili swoją operację jako „bezpośredni apel do rosyjskich władz i firm, które świadczą usługi w dziedzinie bezpieczeństwa cyfrowego”: „Nie jesteście zdolni do obrony nawet swojej kluczowej infrastruktury. Od dawna widzimy, że wasze cyfrowe bezpieczeństwo nie jest warte funta kłaków”. Obiecali, że w najbliższym czasie zaczną publikować pozyskane informacje.
Konsekwencje cyberataku na Aerofłot
Prokuratura Generalna potwierdziła, że paraliż Aerofłotu to rezultat ataku hakerskiego, wszczęła śledztwo (te organy w Rosji działają bez przeszkód). Kreml wyraził ogólnikowe zaniepokojenie.
Aerofłot po tym ataku długo się będzie zbierał z podłogi. Hakerzy nie pochwalili się, że zniszczyli kopie zapasowe, więc być może odtwarzanie zasobów potrwa krócej niż tworzenie struktury na nowo. Bez wglądu w wewnętrzne zasoby firmy trudno ocenić, czy opowieści hakerów o rozmiarach zniszczeń są prawdziwe. Należy zakładać, że straty są znaczne. A najznaczniejszy jest uszczerbek na prestiżu (pomijając straty finansowe, które tylko 28 lipca poszły w grube miliony rubli; akcje Aerofłotu spadły o 4 proc.) i podkopanie zaufania do strategicznie ważnego przewoźnika.
Cyberpartyzanci twierdzą, że od roku przechadzali się po wewnętrznych korytarzach sieci IT Aerofłotu, a udało im się tam dotrzeć z wykorzystaniem loginu dyrektora firmy Siergieja Aleksandrowskiego. Twierdzą, że nie zmieniał on hasła od kwietnia 2022 r., gdy objął dyrektorskie stanowisko.
Dotarcie do „wnętrzności IT” rosyjskiego przewoźnika ułatwiły hakerom także stosowane przez Aerofłot przestarzałe systemy operacyjne Windows XP i Windows 2003. „Aleksandrowski wypadł przez Windows” – żartowali sobie komentatorzy na platformie X (nawiązując do powtarzających się w rosyjskich kręgach wysokich menedżerów przypadków defenestracji). Zdaniem ekspertów jako dyrektor nie miał jednak nic do gadania w sprawie oprogramowania. Musiał zastosować się do wymogu góry: zastąpienia zachodniego softu krajowym w ramach tzw. importozamieszczenija, czyli ogłoszonej pompatycznie przez Putina akcji przechodzenia państwowych instytucji i firm na rosyjskie produkty.
Efekt zaskoczenia i chaos – te elementy akcji hakerów na serwery Aerofłotu przywodzą na myśl niedawną operację „Pajęczyna”, gdy ukraińskie drony ukryte w tirach zaatakowały rosyjskie lotniska wojskowe na dalekim zapleczu frontu. To kolejne bolesne uderzenie w rosyjskie poczucie bezpieczeństwa. Bolesne tym bardziej, że dotyka zwykłych ludzi i burzy ich spokój. „Nasza akcja miała pokazać, że każdy może zapłacić koszty toczonej przez Rosję wojny” – powiedziała przedstawicielka hakerów. Można założyć, że to nie jest ich ostatnie słowo.
„Tygodnik Powszechny” – jedyny polski tygodnik społeczno-kulturalny.
30 tys. Czytelniczek i Czytelników. Najlepsze Autorki i najlepsi Autorzy.
Wspólnota, która myśli samodzielnie.
